Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > La banda de robo de datos Insomnia marca una nueva era de ciberamenazas en el sector salud: por qué la seguridad perimetral ya no es suficiente

La banda de robo de datos Insomnia marca una nueva era de ciberamenazas en el sector salud: por qué la seguridad perimetral ya no es suficiente

by Patrick Spencer updated febrero 25, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 8 minutes

Tu firewall no está protegiendo los datos de tus pacientes. Tu protección de endpoints no detecta al intruso. Tu estrategia de seguridad perimetral fue diseñada para una amenaza que ya no existe.

Esa es la incómoda realidad que revela Insomnia, una nueva operación cibercriminal que apunta al sector salud en EE. UU. Desde que apareció en octubre de 2025, el grupo ha publicado 18 supuestas víctimas en su sitio de filtración de datos. Más de la mitad están relacionadas con el sector salud: hospitales, clínicas, bufetes de abogados de negligencia médica y fabricantes de equipos quirúrgicos.

Insomnia no cifra sistemas ni exige una clave de descifrado. Roba datos — expedientes de pacientes, licencias de conducir, formularios fiscales, correspondencia sensible — y los ofrece para descarga gratuita. Esto es exfiltración de datos a gran escala y representa un cambio fundamental en la forma en que los cibercriminales atacan al sector salud.

Cinco conclusiones clave

  1. Una nueva banda cibercriminal está cazando datos de salud. Una operación de robo de datos llamada Insomnia ha surgido en la dark web con 18 víctimas declaradas. Más de la mitad tienen vínculos directos con el sector salud: proveedores, bufetes de negligencia médica y fabricantes de equipos quirúrgicos. La firma de seguridad Kela confirma que ninguna de estas víctimas apareció en sitios previos de filtración de ransomware, lo que sugiere que Insomnia es una operación realmente nueva, no un simple cambio de nombre.
  2. Los atacantes roban datos, no los cifran. Insomnia no utiliza ransomware. Roba registros sensibles — archivos de pacientes, documentos fiscales, licencias de conducir — y amenaza con exponerlos públicamente. Rapid7 describe al grupo como «optimizado para el robo sigiloso de datos en vez de ataques de ransomware ruidosos y disruptivos». Las copias de seguridad y los planes de recuperación ante desastres son inútiles ante este enfoque. Una vez que los datos salen de tu red, el daño está hecho.
  3. Las credenciales robadas son la puerta de entrada. Insomnia accede mediante credenciales de inicio de sesión robadas por malware infostealer y vulnerabilidades que permiten eludir la autenticación. Luego, el grupo se mueve lateralmente usando herramientas legítimas como actualizaciones de Windows Server. La protección de endpoints y los firewalls no están diseñados para detener a un atacante que ingresa con un usuario y contraseña válidos.
  4. Las organizaciones de salud pequeñas y medianas son el objetivo principal. La mayoría de las víctimas de Insomnia relacionadas con salud tienen ingresos anuales entre 5 y 57 millones de dólares y emplean entre 11 y 200 personas. Son organizaciones sin centros de operaciones de seguridad dedicados, sin detección de amenazas empresarial ni personal de cumplimiento a tiempo completo. La madurez limitada en seguridad es el factor común.
  5. Los pagos de ransomware están bajando, así que los atacantes cambian de táctica. Una encuesta de Sophos reveló que solo el 36% de las víctimas de ransomware en salud pagaron un rescate en 2025, frente al 61% en 2022. Los pagos promedio bajaron de 1,47 millones a 150.000 dólares. Los atacantes están respondiendo cambiando a la exfiltración pura de datos. Si las organizaciones no pagan por descifrar, el siguiente paso es extorsionarlas con la amenaza de exponer registros de pacientes robados.

Por qué el sector salud sigue en la mira

El sector salud ha sido durante mucho tiempo el objetivo preferido de las operaciones cibercriminales. El sector almacena enormes volúmenes de información de salud protegida con alto valor en el mercado negro y, tradicionalmente, las organizaciones de salud han estado dispuestas a pagar rescates antes que arriesgar la seguridad de los pacientes.

Pero esa ecuación está cambiando. Una encuesta de Sophos mostró que solo el 36% de las víctimas de ransomware en salud pagaron en 2025, frente al 61% en 2022. Los pagos promedio bajaron de 1,47 millones a 150.000 dólares. El sector salud se está volviendo un entorno más difícil para los cibercriminales.

Los atacantes se están adaptando. El modelo de Insomnia refleja este giro: en vez de interrumpir operaciones con ransomware, el grupo roba datos sensibles y amenaza con exponerlos públicamente. No puedes restaurar la privacidad de los pacientes desde una copia de seguridad. Una vez que la información de salud protegida se publica en un sitio de filtración, las consecuencias son irreversibles.

Confías en que tu organización es segura. Pero ¿puedes verificarlo?

Lee ahora

Cómo entra Insomnia — y por qué la seguridad tradicional no lo detecta

Lo que distingue a Insomnia de los grupos de ransomware convencionales es su enfoque operativo. Según Christiaan Beek, director sénior de inteligencia y análisis de amenazas en Rapid7, Insomnia está diseñada para la velocidad y la invisibilidad.

El grupo accede mediante credenciales robadas por malware infostealer en mercados clandestinos. Aprovecha vulnerabilidades que permiten eludir la autenticación para saltarse las protecciones de inicio de sesión. Una vez dentro, Insomnia se mueve lateralmente usando herramientas autorizadas como actualizaciones de Windows Server, mimetizándose con la actividad administrativa normal. Rapid7 describe el modelo como enfocado en «velocidad, baja visibilidad y maximizar el poder de extorsión mediante la exposición de datos sensibles».

También hay indicios de que Insomnia podría funcionar como intermediario o plataforma para monetizar datos robados, colaborando potencialmente con otros actores criminales que proporcionan el acceso inicial a la red.

Las defensas perimetrales — firewalls, sistemas de detección de intrusos, plataformas de protección de endpoints — fueron diseñadas para detener software malicioso y señalar tráfico sospechoso. Insomnia no entrega malware. Ingresa con credenciales legítimas y usa herramientas autorizadas. No hay carga maliciosa que detectar.

Proveedores pequeños y medianos: máxima exposición, defensa mínima

El perfil de víctimas de Insomnia revela una estrategia de selección deliberada. La mayoría de las víctimas relacionadas con salud tienen ingresos anuales entre 5 y 57 millones de dólares, con entre 11 y 200 empleados. Son consultorios de dermatología, clínicas regionales, centros quirúrgicos especializados, empresas de facturación y los bufetes que gestionan sus casos de negligencia médica.

Estas organizaciones enfrentan una peligrosa brecha entre la exposición a amenazas y su capacidad defensiva. Manejan los mismos tipos de datos sensibles de pacientes que los grandes sistemas hospitalarios, pero carecen de recursos para protegerlos. Un consultorio ortopédico de 50 personas no tiene un centro de operaciones de seguridad. Un bufete de negligencia médica de 20 millones no cuenta con detección de amenazas de nivel empresarial.

Las herramientas en las que confían — protección básica de endpoints, firewalls estándar, uso compartido de archivos de consumo y correo electrónico sin cifrar — nunca fueron diseñadas para detener el robo de datos basado en credenciales.

La firma de seguridad Kela ha rastreado a 68 organizaciones de salud atacadas por grupos cibercriminales en 2026, de las cuales 50 están en Estados Unidos. Este patrón de ataques refleja operaciones motivadas financieramente que explotan la oportunidad y la baja madurez en seguridad.

Por qué el modelo perimetral no puede resolver este problema

Las credenciales eluden el perímetro. Cuando un atacante inicia sesión con credenciales robadas válidas a través de un punto de acceso autorizado, el perímetro ve una conexión legítima. No hay nada que bloquear.

La detección requiere algo que detectar. Insomnia usa actualizaciones de Windows Server y herramientas administrativas legítimas para moverse por las redes. Estas acciones imitan las operaciones normales de TI. No hay señales anómalas para que las herramientas de seguridad las detecten.

El uso compartido de archivos de consumo carece de gobernanza. Las organizaciones de salud que transmiten información de salud protegida mediante Dropbox, Google Drive o correo electrónico sin cifrar no tienen visibilidad sobre quién accede a esos datos, cuándo ni desde dónde. No existen controles de acceso más allá de un enlace compartido ni registro de auditoría para notificación de brechas bajo HIPAA.

Las copias de seguridad no protegen contra el robo de datos. Las copias de seguridad robustas y la recuperación ante desastres — la defensa tradicional contra ransomware — no tienen relevancia cuando la amenaza es la exfiltración. Puedes restaurar sistemas cifrados. No puedes revertir la exposición de registros robados de pacientes.

De la seguridad perimetral a la protección centrada en los datos

Detener el robo de datos basado en credenciales requiere un enfoque completamente diferente. En lugar de defender el perímetro de la red, las organizaciones deben controlar el acceso a los propios datos: verificando la identidad, restringiendo permisos, cifrando el contenido y registrando cada interacción.

Acceso autenticado a cada archivo. Cada solicitud para ver, descargar o compartir información de salud protegida debe requerir verificación de identidad mediante autenticación multifactor. Las contraseñas robadas por sí solas no pueden otorgar acceso. Los controles contextuales bloquean accesos desde ubicaciones inesperadas, dispositivos no reconocidos o en horarios inusuales.

Gobernanza centralizada de datos. Almacenar datos sensibles en un repositorio reforzado y monitoreado — en vez de dispersos en carpetas compartidas, bandejas de entrada de correo y cuentas personales en la nube — elimina la dispersión que da a los atacantes múltiples vectores de exfiltración.

Comunicaciones cifradas. La información de salud protegida transmitida mediante TLS 1.3 y cifrado validado FIPS 140-3 no puede ser interceptada en tránsito. Los canales seguros para correo electrónico, uso compartido de archivos e intercambio de datos con terceros eliminan la vulnerabilidad SMTP que expone la información de salud protegida a la interceptación.

Registros de auditoría integrales. Cada acceso, descarga, compartición y transmisión queda registrado: quién, qué, cuándo, dónde y cómo. Las alertas en tiempo real señalan patrones sospechosos como descargas masivas. La integración con SIEM permite correlacionar con otros indicadores de amenaza. La investigación forense puede reconstruir la línea de tiempo del ataque e identificar el alcance exacto del compromiso.

Intercambio seguro con terceros. El ecosistema ampliado de salud — aseguradoras, laboratorios, especialistas, empresas de facturación — genera exposición de datos en cada transferencia. Canales autenticados y cifrados con permisos temporales para usuarios externos eliminan el riesgo de que el compromiso de un socio se convierta en tu brecha. Aquí es donde la administración de riesgos de terceros pasa de ser un requisito de cumplimiento a una necesidad operativa.

Kiteworks: seguridad centrada en los datos diseñada para el sector salud

Este es el problema que la Red de Datos Privados de Kiteworks está diseñada para resolver.

Kiteworks no intenta detener el robo de datos en el perímetro de la red. Controla el acceso a los propios datos. Cada interacción con información de salud protegida pasa por una única plataforma con verificación de identidad consistente, cifrado, controles de acceso y registro de auditoría.

La protección tradicional de endpoints no puede detener a un atacante que usa credenciales legítimas. Los firewalls no pueden señalar actividades que imitan operaciones normales. El uso compartido de archivos de consumo carece de controles de acceso y registros de auditoría compatibles con HIPAA. Kiteworks consolida todo el intercambio de información de salud protegida en un entorno gobernado donde las credenciales robadas por sí solas no permiten acceder a los datos, cada interacción queda registrada y los intentos de exfiltración activan respuestas automatizadas.

Para los CISOs, es la arquitectura de protección de datos de confianza cero que previene el robo basado en credenciales. Para los responsables de cumplimiento, es el registro de auditoría que demuestra el cumplimiento de la Regla de Seguridad HIPAA y respalda la notificación de brechas. Para los CFOs de organizaciones en el rango de objetivo de Insomnia, es protección de nivel empresarial sin un presupuesto de gran empresa: cuando el costo promedio de una brecha de datos en salud es de 10,93 millones de dólares, la prevención se paga sola.

La ventana se está cerrando

Insomnia no es un incidente aislado. Es la última señal de una tendencia clara. A medida que los pagos de ransomware disminuyen, los grupos cibercriminales giran hacia el robo de datos porque los expedientes de salud robados ofrecen una ventaja permanente. Nuevos grupos como Qilin y Sinobi siguen atacando organizaciones de salud con baja madurez en seguridad. Sesenta y ocho entidades del sector salud han sido atacadas en 2026 y apenas estamos en febrero.

Las organizaciones de salud que adopten seguridad centrada en los datos ahora cerrarán la brecha de exfiltración que Insomnia y grupos similares explotan. Protegerán la privacidad de los pacientes, cumplirán los requisitos de HIPAA y evitarán el costo promedio de 10,93 millones de dólares de una brecha de datos en salud. Las organizaciones que sigan confiando en defensas perimetrales descubrirán su brecha del mismo modo que ya lo han hecho las 18 víctimas de Insomnia.

Los datos de los pacientes ya no pueden protegerse solo resguardando el perímetro de la red. La cuestión es si tu organización asegurará sus datos en el origen antes de que el próximo ataque basado en credenciales aproveche la brecha que tus herramientas actuales nunca fueron diseñadas para cerrar.

Para saber cómo Kiteworks puede ayudarte, agenda una demo personalizada hoy.

Preguntas frecuentes

Insomnia es una operación cibercriminal que apareció por primera vez en la dark web en octubre de 2025 con 18 víctimas declaradas, más de la mitad vinculadas al sector salud. A diferencia de los grupos de ransomware tradicionales, Insomnia se enfoca en robar datos sensibles en vez de cifrar sistemas. El grupo apunta al sector salud porque maneja información de salud protegida de alto valor y muchos proveedores pequeños y medianos tienen baja madurez en seguridad.

El ransomware tradicional cifra archivos y exige un pago por la clave de descifrado. Insomnia omite el cifrado por completo y, en cambio, roba registros sensibles y amenaza con exponerlos públicamente. Esto es importante porque las estrategias de respaldo y recuperación ante desastres — la defensa convencional contra ransomware — son irrelevantes frente a la exfiltración de datos. Una vez que los registros de pacientes son robados y publicados, el daño no se puede revertir. La única defensa efectiva es evitar que la información de salud protegida salga del entorno desde el principio.

Las herramientas de seguridad perimetral están diseñadas para identificar y bloquear software malicioso y tráfico de red anómalo. Insomnia elude estas defensas iniciando sesión con credenciales robadas a través de puntos de acceso autorizados y moviéndose lateralmente usando herramientas legítimas como actualizaciones de Windows Server. Como la actividad imita operaciones normales, no hay carga maliciosa que detectar ni señales anómalas que alertar. La protección de datos de confianza cero — verificando identidad y restringiendo el acceso a nivel de datos — es la contramedida adecuada.

La seguridad centrada en los datos traslada la protección del perímetro de la red a los propios datos. Controla el acceso a archivos sensibles mediante autenticación multifactor, permisos granulares, cifrado y registros de auditoría integrales. Incluso si un atacante obtiene credenciales robadas, la autenticación multifactor impide el acceso no autorizado. Los permisos granulares limitan lo que cada cuenta puede alcanzar. Los registros de auditoría detectan patrones de acceso inusuales y respaldan la investigación forense.

Las organizaciones pequeñas y medianas del sector salud deben priorizar tres controles: aplicar autenticación multifactor en todos los sistemas que manejen información de salud protegida, centralizar el intercambio de datos en una sola plataforma gobernada con controles de acceso y registros de auditoría integrados, y eliminar el uso compartido de archivos de consumo y el correo electrónico sin cifrar para datos de pacientes. La protección de nivel empresarial ya está disponible a precios de pymes: el costo promedio de 10,93 millones de dólares por una brecha de datos en salud supera con creces la inversión.

Recursos adicionales

  • Artículo del Blog Arquitectura Zero Trust: nunca confíes, siempre verifica
  • Video Microsoft GCC High: desventajas que impulsan a los contratistas de defensa hacia ventajas más inteligentes
  • Artículo del Blog Cómo proteger datos clasificados una vez que DSPM los identifica
  • Artículo del Blog Generando confianza en IA generativa con un enfoque Zero Trust
  • Video La guía definitiva para el almacenamiento seguro de datos sensibles para líderes de TI

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks